日志:宏碁AS10D61电池,BQ20Z955主控解锁体验
本帖最后由 2690173248 于 2024-11-10 18:18 编辑前些日子我在华强北逛,看到一个卖家卖三星18650-35E(3450mah,8A)以及各种版本的18650GA,还有其它动力版本的电芯。虽说不便宜,我心想这个东西在北美18650batterystore前些日子降价上面卖4美元一枚都美的他们鼻涕冒泡,而我之前一直用的是LG MJ1,所以淘了3枚试试。结果发现,容量,内阻测定合格。4.2V 1A放电到2.8给了~3290-3350mah的样子,而且一颗电芯还反复试了三次
然后我又在某鱼上面看见有人卖18650-33G(3150mah,4A)比那个35E便宜一点,然后也淘了一点儿,测试也合格,也是新货。这样子3+3凑起来可以做事情了
测试的小白鼠呢我屋子里面正好有一个从我宏碁4741G上面拆下来的彻底坏死的AS10D61电池(三星 22F电芯,兼容几乎所有的宏碁常见10-12年的14 15 和 17寸机型),拆开一看成色惨不忍睹
你要想象到,外壳的标签是被什么东西腐蚀的正好缺了两行字。。好吧,只好戴上手套,把这个鬼拿去阳台上尽快把电池连接地方剪开吧,留一点尾巴可以换新的时候重复使用。剪开了后马上用透明胶带给它包死,后面比形状的时候用就不需要戴手套了
至于说CP2112,我把那个电容得拆掉了,然后在我另一台宏碁上面装XP,上破解版的BE2Works 4.52后就不会毁坏芯片了
我手里只有杜邦线,发现那个东西直接插进电池插座里面接触效率很差,再加上宏碁插头有个BI针必须接地才能放电,所以我买了些2mm转2.54mm间距的PCB,买了8针的电池插头,自己做了一个转接头,连接CP2112既容易又可靠
这下子可以开始干活了
这个电池的线路方案有点独特,形状奇怪,而且原厂全部是用绝了缘的镍条绕好几个弯连起来的。只能两颗一组一组的来点焊。上面那两个是负极屁股对在一起,正极在两边最后用飞线连接起来。焊起来后马上用细胶带简单粘一下省得来回来去晃使镍条变疲劳
焊完了间距算的准确后就可以折出形状来了。。然后发现由于原厂没有装这些绝缘垫片,装了给一行电芯尺寸加了1mm,装壳费劲!还好宏碁想到了可能有这个问题,壳子两边安装的是柱子,然后我用改锥磨掉1mm装卸就很轻松了
就这样,电池点焊以及绝缘的工作就圆满的完成了
下一个环节就是装板子然后解锁了,下一个帖子讲
下面就该是安装板子了
安装板子之前,先拍几张照片仔细看看这个板子的结构
主控有点看不清,其实是BQ20Z955,单芯片设计。芯片左边的是测电流的电阻;中间的电池插座的pinout宏碁好心把它标出来了。BI就是Battery Insert,插进电脑后电脑主板把它接地才能供电;TH应该是发出温度报警的针脚;C、D就是SMBus时钟和数据针
在右边的充电和放电FET上面的就是保险丝,左边两个脚是输入输出,右边是烧断的加热器装置。我测量我的是好的,为了不对它破坏,我后面把右脚抬起来然后中间上绝缘胶带,或者把它右边的那个二极管拆掉也可以
这样子连接好,保险丝烧毁设备拆掉,通过到处拍的照片放大检查绝缘做的到位,然后就可以上CP2112了
连上CP2112,打开破解版BE2Works 4.52,左边那个下载按钮可以读取通用的SBS(智能电池系统)信息。如果读取不了,检查你的Clock Data有没有搞反,如果电池电压低可能需要手动把电池正极和插座正极连一秒钟唤醒芯片
然后选中BQ20Zxx,点击i按钮可以读取对这个芯片具体的信息
图中所有写PF的全部不该有,有任何的就说明Permanent Failure(永久性损坏),大致可能性在尝试烧你的保险丝。下面PFStatus列出来所有值得烧保险丝的严重损坏原因
再往下看有Manufacturer Status,这些会显示具体这个电池的表现,如果在BQ20Z95 sluu264a的手册里面找可以有说明。这个软件相当于自动发了Manufacturer Status(0x0006)的命令给0x00,再读取0x00下面两字节的值,转成16位2进制后按手册上面的表格拆成了这些状态
这里显示属于 (FET1, FET0) = (1, 0); (PF1, PF0) = (0, 1); (STATE3, STATE2, STATE1, STATE0) = (1, 0, 0, 1)。第一个意思是手册第三行,充电、放电三极管都关闭;第二个意思是PF的主要原因是电池电压严重不平衡(只有靠负极一组电芯有2.7V的电,其它漏液的都是0V);第三个的意思是Permanent Failure
这些可知道可不知道,但是我觉得还是有意思的
下一步应该是用右边的下载按钮读取EEPROM。但是问题是宏碁改了unseal的密钥,但还好这个软件有跳过的功能,只要剩余电量(RemainingCapacity)参数为零就可以重置密码!
再一个好消息是BQ20Z95的剩余电量在没有破解的情况下也是可以随意修改的!只要用那个文件夹的按钮,在SMBus地址0x0F的地址发个0000即可清零
清零后点击钥匙按钮可以(临时)重置密码。好像固件运行一段时间后密码又回去了
点OK然后点击右边下载的按钮就可以读取EEPROM了。读完点击软盘按钮保存个备份
最后点击那个星星一键就可以把PF全部清掉,无需写入EEPROM。你别看以为没反应,其实是立即生效!再点击i的按钮PF的信息就不见了!
这个时候如果操作正确,插回机器就可以正常充电了。只是这时候什么其它参数都没有改,设计容量,循环数,满电容量都没有改
一般的情况搞到这里就已经成功了
然而,对我来说,我没有那么幸运,有很坑爹的事等着我。重置完了后可以放电,不可以充电。再次读取发现有XCHG的状态。然后细看发现温度检测-6C。。。
这。。。我的电池温度计粘的实在太死,我没敢用工具,用手指甲一点点抠下来的还坏了。。XCHG的意思是Inhibit Charging(温度超出定义的范围,禁止充电),阈值是0C
我最后没办法,还好彻底烂掉之前我用万用表量了几次电阻,报-7C的时候是20KOhm,手把接触对起来后变成了10KOhm,然后彻底跪到读-37C的时候是30-40K,估计是10KOhm,3435的温度探头,某宝上面买了一个,再买几个临近参数的以防万一,然后这些步骤就只能重来了。。
Open Thermistor(开路温度探头)也是个PF的条件,所以我换温度探头也是要锁板的。所以我不妨试试宏碁的BQ20Z955固件到底可以不可以成功让你12V 8 4 地线断电,然后地线 4 8 12接上不锁板直接用。我按照那个顺序逐个断开连接,过了15分钟后反过来接上了。
然后发现,锁板了!打开一看,PF的鬼返回来了,只是抱怨的东西不一样罢了!我几年前折腾三洋款的AS10D31(BQ8055)也是这样也是锁板了
所以,绝大部分宏碁电池不允许你掉电换电芯!
然后又过了几天,某宝的温度探头终于到了。
马上折回去继续弄这个东西
赶快把这个探头焊上,然后接电芯继续重新解锁
我记起来了,BQ20Z955是那个有点疯的主控,每次放电充电都会调节容量,即使你放电就放1%。那这个主控学习这个新容量应该非常的快
最后一次解锁后把探头粘上,把保险丝那个针脚接上
我扣电池盖子502只会粘卡扣,尽量用卡扣,然后在电池一面以及卡扣周围涂几滴T9000胶水,用夹子夹起来几个小时,这样子粘的又稳又有弹性。电池受力弯曲的时候胶水也可以拉伸,而且电芯在壳子里面粘在壳子两面的其中一面,不会晃动
最后就看这个主控想要我用多少容量吧。如果循环后只让我用比设计容量多一点点的样子我考虑要不要调设计容量
虽说这个project因为各种各样缺材料拖了好久,但是我对我的成果还是挺满意的,自己知道安全系数应该跟原厂差不多,镍带每一个角落都至少有双层耐热金手指胶带以及电池皮来绝缘。粘的还看起来一点都没翘,不错
此贴已经被我永久收藏,非常经常的分析. 我上次有个8030 的板子,连接不了,无数据连接,测试保险都是好的,为什么?
连接不了的板子到底是什么坏了?
我的x40 ,电池,也是无法连接,不知道是什么烧了? x61电池被锁了,拆开看看又合回去了,主要安全要紧,没把握搞。 jxguoguo 发表于 2024-11-11 10:34
x61电池被锁了,拆开看看又合回去了,主要安全要紧,没把握搞。
弄这些东西之前一定要有安全的意识。要是第一次弄没有把握的话慢慢来,没有人催你的。我弄这个宏碁电池也是心很细,一步步来,光点焊装板子就折腾了我3个多小时,为了就是安全
我打算今天晚上就去10元取一个IBM原厂X61s专用的31电池。18650搞熟了,来套103450的方形电芯玩玩。方形电芯在北美根本找不到,而我知道北美囤T61 X61的人超级多,改装一个31电池拿出国卖应该很赚{:1_245:}
我之前魔改了一个ThinkPad 22电池,装上LG MJ1电芯可以用42Wh,然后他们哭着喊着的想要 jackmacc 发表于 2024-11-11 00:45
我的x40 ,电池,也是无法连接,不知道是什么烧了?
我想你应该知道老ThinkPad电池好多主控换完电芯后需要飞线电芯正极接电池插座正极一秒钟来唤醒主控吧。。不掉电换电芯就不用(除非原先电芯彻底饿死)
再要是还没有反应只能拿个放大镜看你那5个焊点铜片有没有断掉/脱落。旁边应该有Test Point可以量一下试试
还是不行的话恐怕你固件砖了。这个我在好多替换电池主控上面看见过,时间久了有些设计有问题的EEPROM会慢慢丢掉之前写入的数据。X40的EEPROM应该是一个8针芯片可以直接往里面写数据 jackmacc 发表于 2024-11-11 00:33
此贴已经被我永久收藏,非常经常的分析.
谢谢,互相学习。我建议你把那个电容拆了,然后掏出来个XP的笔记本试试这个BE2Works的流程(解压密码在文件名上面),以防哪一天你碰到一个T4x G4x之类的上面有你没见过的主控
我今天晚上整个ThinkPad 31电池看看是不是BQ8030,也试试你说的这些方法
BE2Works 5.x 版本支持的芯片要广很多,但是作者不给它的demo版本。别说破解了,正版安装包都找不到 本帖最后由 2690173248 于 2024-11-12 13:31 编辑
后来我又折腾这个电池来着,我发现BE2Works在成功读取EEPROM后会把芯片破解成Full Access Mode,最高的访问权限。
这下子就有的玩了,好多参数直接通过SMBus命令就可以改了
如下图,这个主控的SMBus 0x17命令是循环计数,0x18是设计容量。手册上面讲如果权限是Unseal或FA Mode,这些参数可以直接写
那我连EEPROM都不用动,直接ww 17 0001(给17写循环=1),ww 18 19C8(给18写设计容量=6600mah),改动立即生效!
然后,再玩点平常碰不到的:0x60、61、62进行read dword。60是解锁密码,61是FA Mode的密码,62是清除PF的密码(使用时都是直接写在0x00 Manufacturer Access地址里面)
我估计这些是在上次BE2Works破解这个东西的密码的时候全部重置了,这些貌似都是TI默认的密码
看到了这个BE2Works论坛上面写的FAQ,上面讲跟我猜想的一样,BQ20Z系列主控的满电容量不可以直接改,必须叫主控自己学习。你只能对它进行校准。。。好吧
这个厉害了,可以参考下 jackmacc 发表于 2024-11-11 00:41
我上次有个8030 的板子,连接不了,无数据连接,测试保险都是好的,为什么?
连接不了的板子到底是什么坏了?
...
对了,后面我又折腾了其它的方法,折腾了其它的主控。宏碁AS10D61, D81都是BQ20Z955,而AS10D31和D51好像都是BQ8055A
那个油管的原著搞了BQ8050解锁的方法,但是我后来尝试给我BQ8055A主控试过来着,结果不行!那几个register根本就不一样。。
更可恶的是BQ8055好像也是要不然宏碁的要不然也是三洋的专属版,连个参数pdf都没有,SHA1的密钥也不是原厂那么两个。。这个东西BE2Works 5.8可以解锁,但是可能甚至那个都需要作者的技术支持来破密钥才行
网上有一个评论说BQ8055是基于BQ30Z55的,但是我拿BQ30Z55的命令直接弄好像不管用。。
再就是我从Karosium上面读的,好像别人说BQ8030由于把大部分的动态参数存在EEPROM里面,断电影响不大。而BQ20Z系列以及BQ8055把动态参数好多只存在RAM里面,断电信息就全丢了,只有个把个参数可以从data flash里面加载
所以我跟你说,我觉得你一直以来折腾BQ8030看来还算是命好。本来以为BQ20Z955就已经够坑的了,没想到后面的改成SHA1加密后那些东西坑的多,没有渠道获得这些解密密钥什么的是真的弄不下去。。
我也是算是命好,AS10D31 BQ8055A主控的电池板设计不错,每一极还给了个电线插孔。我都是飞线直接焊进圆孔,带电换电芯的,躲过了一劫
BQ8055A倒是电池管理方面比较稳定比较合理,换完电芯后傻瓜化循环到5%以下电量搞几次满电容量就回来了。而且我后面整了个方正R410里面的AS10D31电量只有7.1V,都没锁板,插上电脑首先是充电红灯闪,过了5秒钟竟然正常开始充电了,充满了用没问题。我首先以为BQ8055A是多么好的鸟呢。。 看来这个电池板是终于学会了,终于学到55Wh了,估计还要往上一些,估计得有60多wh
妥妥的一篇毕业论文
页:
[1]